der Präsentation der Arbeitsgruppe elektronische

Applied Security GmbH
Firmenvorstellung – Arbeitsgruppe elektronische Zulassung beim
Bundesverband der Arzneimittelhersteller e.V.
Agenda
Wer sind wir?
Was machen wir?
Was möchten wir Ihnen vorstellen?
eGovernance, Risk & Compliance (Kurzvorstellung)
FDA - Richtlinie 21 CFR Part 11 digitale Signatur
25.11.2011
Folie 2
Wer sind wir?
Andreas Schuster
EMEA Sales Manager
Reinhard Dransfeld
Key Account Manager
25.11.2011
Folie 3
apsec – auf einen Blick
2007 bis 2009 diverse Awards
Firmensitz Stockstadt/Main
Niederlassungen Dubai, Grand Rapids (USA)
8.000+ Kunden weltweit
Unsere Geschäftsbereiche:
IT-Beratung und Softwareentwicklung –
Wir sind Spezialist für den Schutz von sensiblen Daten
rund ums Unternehmensnetzwerk.
25.11.2011
Folie 4
Welche Lösung brauchen Sie?
Die fideAS® Produktfamilie
25.11.2011
fideAS® file enterprise
Unternehmensweite Dateiverschlüsselung und
Data Loss Prevention
fideAS® mail
E-Mail Verschlüsselung und E-Mail Signatur
(intern und extern)
fideAS® health
Sicherer Datenaustausch entsprechend dem
deutschen Gesundheitswesen
fideAS® law
Sicherer Mailworkflow für die Rechtsbranche
fideAS® miniCA
Erstellung von Zertifikaten (Certificate Authority)
fideAS® sign
Signatur & Verifizierung (für Workflow,
Rechnungsversand, Archivierung etc.)
Folie 5
Kernkompetenzen – Entwicklung und
Integration
Kernkompetenzen der Entwicklungsabteilung
Public Key Infrastrukturen (PKI)
Smartcard-Technologie
C/C++/C#, Java, PHP, Visual Basic
Windows, Unix, Linux
Webtechnologien, XML, SOAP, LDAP
25.11.2011
Folie 6
Information Security Consulting
Wir entwickeln mit Ihnen Sicherheitsvorkehrungen, die
Ihrem Bedarf entsprechen.
ISMS (Information Security Management Systems)
Enterprise Threat und Risk Management
Organisatorische und technische Sicherheit
Governance, Risk and Compliance (GRC)
25.11.2011
Folie 7
Governance- Risk- & Compliance Management
Allgemein:
Pharmaunternehmen unterliegen immer strengeren Vorschriften und
Richtlinien.
Spezielle Vorschriften – z.B. FDA-Anforderungen
Für die Zulassung pharmazeutischer Produkte auf dem
amerikanischen Markt sind die strengen Bestimmungen der FDA
(Food and Drug Administration) zu erfüllen.
Monitoring der Vorschriften
Wie kann die Einhaltung aller gesetzlichen Bestimmungen und damit
die Compliance möglichst schnell sichergestellt werden?
25.11.2011
Folie 8
eGRC Software Lösung
25.11.2011
Folie 9
eGRC Management
Eine erfolgreiche FDA Compliance-Lösung erfüllt die
regulatorischen Anforderungen für ein audit- und
revisionssicheres Management
Anforderungen:
Schnelle und individuelle Anpassungsmöglichkeit an Unternehmensprozesse und –Ziele unter Compliance Aspekten
Anbindung beliebiger Backendsysteme
Collaboration und Datenaustausch
Modulare Erweiterungsmöglichkeit auf andere Compliance-Themen
Enterprise Threat und Risk Management
25.11.2011
Folie 10
Kern der Lösung
25.11.2011
Folie 11
RSA – Archer eGRC
25.11.2011
Folie 12
RSA – Archer eGRC
25.11.2011
Folie 13
RSA – Archer eGRC
25.11.2011
Folie 14
FDA konforme Signatur
Arbeitsgruppe elektronische Zulassung
25.11.2011
Folie 15
Agenda
FDA Anforderungen
Typische Workflow-Anforderungen
Organisatorische & technische Anforderungen
Erwartete Vorteile
Die „3i“ der digitalen Signatur
25.11.2011
Folie 16
Agenda
Die Lösung CoSign®
Demo
Zusammenfassung und Compliance Check
Referenzen
25.11.2011
Folie 17
FDA Anforderungen
§ 11.10 Controls for closed systems
(d) Limiting system access to authorized individuals.
(e) Audit trails
(f) Use of operational system checks to enforce permitted sequencing of steps and events, as
appropriate.
§ 11.30 Controls for open systems
Authenticity & integrity of electronic records from the point of their creation to the point of their
receipt.
Acrobat
§ 11.50 Signature manifestations
Signed electronic records shall clearly indicate printed name of the signer, date & time and
reason for signing.
§ 11.100 General requirements
(a) Unique electronic signatures for each user
§ 11.200 Electronic signature components & controls
Employ at least two distinct identification components; Continuous sessions.
25.11.2011
Folie 18
Security und Compliance
Wo soll die digitale Signatur unterstützen?
Umsetzung von regulativer und interner Compliance
Schützt das Produkt-Portfolio
Garantiert die Qualität von Informationen
Informationen sind nicht wertvoll oder nutzbar, sofern
der Quelle oder der Integrität nicht getraut werden kann!
25.11.2011
Folie 19
Zeitliche Entwicklungen
1997: FDA 21 CFR Part 11
1999: European Electronic Signature Directive verabschiedet
1999: Adobe Acrobat unterstützt digitale Signaturen
2000: US E-SIGN Bill verabschiedet
2002: ARX CoSign v1 released
2003: SAFE BioPharma gegründet
2004: ClinPhone CoSign Enterprise Deployment (Referenz)
2005: HIPAA Security Standard umgesetzt
2006: DHS Electronic Signature Guidance for I-9
2006: ARX als Marktführer in Life Sciences Markt anerkannt
2006: Gartner Information Security Hype Cycle < 2 Years
2005 – 2007: CoSign LifeSci/HC Installationen wachsen um +2000%
25.11.2011
Folie 20
Workflow Fakten*
In 40% der Unternehmen benötigen >50% der Business Prozesse
eine Unterschrift.
60% der befragten Personen haben durch Regularien einen direkten
Bedarf an autorisierter Signatur. Speziell im öffentlichen Bereich, im
Gesundheitswesen sowie im Pharma-Bereich.
Eine Beschleunigung des Freigabeprozesses sowie Zeitersparnis
sind die wichtigsten Vorteile für die digitale Signatur.
*) Quelle: © AIIM 2010 www.aiim.org / © ARX 2010 www.arx.com
25.11.2011
Folie 21
Workflow Fakten*
In 63% der Unternehmen, die keine digitale Unterschrift einsetzen,
werden 50% der Ausdrucke nur erzeugt um eine Unterschrift
einzuholen.
Im Durchschnitt werden pro Papier-Freigabeprozess 3,5 zusätzliche
Kopien oder Faxe pro Dokument erstellt.
Bei 23% der Mitarbeiter verzögert sich ein Prozess durch das Warten
auf eine Unterschrift im Durchschnitt um eine Woche oder länger.
63% der digitalen Signaturnutzer erreichen einen ROI in weniger als
12 Monaten.
*) Quelle: © AIIM 2010 www.aiim.org / © ARX 2010 www.arx.com
25.11.2011
Folie 22
Typische Anforderungen an eine digitale SignaturLösungen
Organisatorische Anforderungen:
Ersatz der Unterschriftenmappe durch
elektronischen Workflow.
Freigabeprozesse erfordern oft Unterschriften
einer Rolle, selten die eines einzelnen Mitarbeiters.
Mehrfache Unterschriften pro Dokument/Workflow.
Freigaben durch Manager, auch wenn diese unterwegs sind.
Einbinden externer Unterschriften von Partnern und Kunden in den
Workflow.
25.11.2011
Folie 23
Mögliche Optionen
0,00%
20,00%
40,00%
60,00%
80,00%
100,00%
Papier
Signatur Pads
Elektronische Signatur
Digitale (PKI) Signatur
Zentrale digitale Signatur
Preis/Leistung
Einfachheit
Sicherheit
Skalierbarkeit
Eine Zusammenfassung der Vor- und Nachteile möglicher Ansätze bieten wir in einer
getrennten Präsentation. Diese erhalten Sie auf Anfrage unter andreas.schuster@apsec.de.
25.11.2011
Folie 24
Typische Anforderungen an digitale Signatur-Lösungen
Technische Anforderungen:
Freigaben sollen in Office Dokumenten,
Scans und PDF Dokumenten stattfinden.
Häufige Dateitypen: DOC/DOCX, XLS/XLSX, TIFF, PDF, PDF/A, WebForms, Listen.
Soll von jedem Arbeitsplatz aus funktionieren.
Wenn möglich ohne spezielle Hardware wie Smartcard,
Fingerprint-Reader, Signatur-Pad o.ä.
Möglichst ähnlich einer handschriftlichen Unterschrift („Wet“ Signature).
25.11.2011
Folie 25
Typische Anforderungen an digitale Signatur-Lösungen
Erwartete Vorteile:
Reduktion der Kosten wiederkehrender Freigabeprozesse
Laut einer Studie liegt der Aufwand bei ca. 4,00 € pro normaler Unterschrift und
setzt sich zusammen aus: Papierkosten, Druckkosten, Arbeitszeit, interne
Transportwege, Zeitaufwand des Unterzeichners, elektronische Archivierung oder
Papierablage sowie die Wiederherstellung verlorener Dokumente.
Bessere Unternehmensperformance und schnellere interne Abläufe =
zufriedenere Kunden.
Automatische Verifizierung jeder Unterschrift und Betrugsprävention.
Eine Prozessfreigabe soll innerhalb des Netzwerkes auch von außen
möglich sein, z.B. wenn ein Manager auf Reisen ist.
25.11.2011
Folie 26
Die Lösung: CoSign® / CoSign® für SharePoint®
CoSign® Central-Enterprise 1U Bundle
25.11.2011
Folie 27
CoSign® Central-FIPS 4U Bundle
Die „3i“ der digitalen Signatur
Identity (Wer)
Bietet einfache Erkennung des Unterzeichners
durch sein digitales Zertifikat in jeder digitalen Signatur.
Intend (Warum)
Eingabe eines Grundes für die Freigabe. Dieser Text ist
unveränderlich in der digitalen Signatur eingebettet.
Integrity (Was)
Signierte Dokumente sind unveränderbar.
25.11.2011
Folie 28
CoSign® Funktionen
Dokumente, die direkt in SharePoint® signiert werden
können:
sowie
-Listen
Dokumente, die über den CoSign®-Client signiert und
dann in SharePoint importiert werden können:
… sowie viele andere über den integrierten PDF-Konverter.
25.11.2011
Folie 29
Ein Bild sagt mehr als 1000 Worte…
Offline-Demo
Start
25.11.2011
Folie 30
Beispiel: Signatur von Word Dokumenten
25.11.2011
Folie 31
Beispiel: Signatur von Word Dokumenten
25.11.2011
Folie 32
Beispiel: Signatur von PDF Dokumenten
25.11.2011
Folie 33
Beispiel: Signatur von PDF Dokumenten
25.11.2011
Folie 34
Beispiel: Signatur von PDF Dokumenten
25.11.2011
Folie 35
Beispiel: Signatur von PDF Dokumenten
25.11.2011
Folie 36
Beispiel: Signatur von PDF Dokumenten
25.11.2011
Folie 37
Beispiel: Signatur von PDF Dokumenten
25.11.2011
Folie 38
Beispiel: Signatur von PDF Dokumenten
25.11.2011
Folie 39
Beispiel: Signatur von PDF Dokumenten
25.11.2011
Folie 40
Beispiel: Signatur von PDF Dokumenten
25.11.2011
Folie 41
Beispiel: Signatur von PDF Dokumenten
25.11.2011
Folie 42
CoSign® im Überblick
Direkte Unterstützung von Microsoft® Office® und
InfoPath.
Direkte Unterstützung von Adobe® Reader® und
Acrobat® für PDF und PDF/A Signatur der Adobe®
Versionen 6/7/8/9+.
Unterstützt mehrere Signaturen in Folge pro Dokument.
Erfüllung von Compliance-Anforderungen.
Freigabe-Grund Management (Reason Code Mgmt.).
25.11.2011
Folie 43
CoSign® im Überblick
Unterstützung für grafische Signaturen.
Microsoft® Infrastruktur Ready: CoSign® bietet direkte
AD Unterstützung und Kerberos- Authentifizierung.
Unterstützung von 32bit und 64bit Windows Systemen.
CoSign® ist 100% Microsoft .NET ready und wird über
ein MMC Management Snap-In verwaltet.
25.11.2011
Folie 44
Typische Anforderungen an digitale
Signatur-Lösungen
Organisatorische Anforderungen
? Ersatz der Unterschriftenmappe
durch elektronischen Workflow.
? Freigabeprozesse erfordern oft Unterschriften
einer Rolle, selten die eines einzelnen Mitarbeiters.
? Mehrfache Unterschriften pro Dokument/Workflow.
? Freigaben durch Manager, auch wenn diese unterwegs sind.
? Einbindung externer Unterschriften von Partnern und Kunden
in den Workflow.
25.11.2011
Folie 45
Typische Anforderungen an digitale
Signatur-Lösungen
Technische Anforderungen
? Freigaben sollen in Office Dokumenten,
Scans und PDF Dokumenten stattfinden.
Häufige Dateitypen: DOC/DOCX, XLS/XLSX,
TIFF, PDF, PDF/A, Web-Forms, Listen.
? Soll von jedem Arbeitsplatz aus funktionieren.
Wenn möglich ohne spezielle Hardware wie Smartcard,
Fingerprint-Reader, Signatur-Pad o.ä.
? Möglich ähnlich einer normalen Unterschrift
(„Wet“ Signature).
25.11.2011
Folie 46
Typische Anforderungen an digitale
Signatur-Lösungen
Erwartete Vorteile
? Reduktion der Kosten wiederkehrender Freigabeprozesse
Laut einer Studie liegt der Aufwand bei ca. 4,00 € pro normaler Unterschrift und setzt sich
zusammen aus: Papierkosten, Druckkosten, Arbeitszeit, interne Transportwege, Zeitaufwand
des Unterzeichners, elektronische Archivierung oder Papierablage und die Wiederherstellung
verlorener Dokumente.
? Bessere Unternehmensperformance und schnellere interne
Abläufe = zufriedenere Kunden.
? Automatische Verifizierung jeder Unterschrift und
Betrugsprävention.
? Eine Prozessfreigabe soll innerhalb des Netzwerkes auch von
außen möglich sein, z.B. wenn ein Manager auf Reisen ist.
25.11.2011
Folie 47
Typische Anforderungen an digitale
Signatur-Lösungen
Compliance Erfüllung
? NIST – FIPS 140-2 Level 3-zertifiziert
? Erfüllt die Europäischen Direktive 1999/93/EC für
elektronische Signaturen
? Erfüllt FDA Title 21 CFR Part 11
? Erfüllt USA E-Sign und UETA
25.11.2011
Folie 48
CoSign® Kunden
25.11.2011
Folie 49
Erfolge
Enterprise Wide Deployments at small, medium, large
BioPharmas and Medical Devices
Extremely large Clinical Trial Operations in small, medium,
large CROs (and CMOs)
Enterprise Wide Deployment for the Leading IVRS, EDC,
CTMS vendors
18 different Central Labs in North America
World’s Largest Veterinary Health Certificate Portal
Strategic partnerships in Life Sciences with Microsoft,
Oracle, Adobe, IBM, etc.
25.11.2011
Folie 50
CoSign® Referenzen
CRO, 6000 user clinical trial portal signing regulatory packets, trip reports, etc
Being deployed for enterprise-wide applications integrated with ECM
CRO, enterprise wide clinical trial management including Monitor Trip Reports
Hosted clinical trial portal including Monitor Trip Reports for sponsors, CROs
OEM for Trip Reports, Hosted, share ECM SaaS for life science/healthcare
OEM for CTMS (Site Manager)
OEM for CTMS, Used on Over 1000 clinical trials and 200 vendor audits
Animal health laboratory testing applications integrated with LIMS
25.11.2011
Folie 51
CoSign® Referenzen – Seite 2
Global Purchasing and Capital Project Appropriation approvals
Electronic Invoicing and European VAT Tax Reimbursments
SOP and Quality Controlled Documents for Audits, Training, Projects
Adverse Event, Complaint Handling, and Safety
Enterprise-wide use in development-stage Biopharmacuetical
Enterprise-wide use in early stage Medical Device
25.11.2011
Folie 52
Kunden im Gesundheitswesen
REM Sleep Labs
OFFICE OF THE
CHIEF MEDICAL EXAMINER
Active Diagnostics
25.11.2011
Folie 53
ROI Beispiel: 600 Mitarbeiter
Ein Unternehmen mit 600 Mitarbeiter, davon sind 125 in Freigabeprozessen tätig.
Im Ø 1,3 Unterschriften pro Tag, die man auf elektronischen Workflow umstellen
kann.
220 Werktage/Jahr – 25T Urlaub = 195 Arbeitstage pro Mitarbeiter.
125 Mitarbeiter x 1,3 Unterschriften pro Tag x 195 Arbeitstage = 31.687
Freigabeprozesse pro Jahr x 4,00 € Kosten pro Unterschrift
= ca. 126.748 € Kosten
Kosten von CoSign für 125 Benutzer ca. 55.800 € geteilt
durch 126.748 € Kosten
= ROI von 5,3 Monaten
25.11.2011
Folie 54
Fragen & Antworten
Ihre Ansprechpartner:
Reinhard Dransfeld - Key Account Manager
Andreas Schuster –
Sales & CoSign Product Manager
Sprechen Sie mit uns.
apsec bietet Ihnen umfassenden Service für alle Bereiche der Datensicherheit.
Applied Security GmbH - Industriestraße 16 - 63811 Stockstadt
www.apsec.de – info@apsec.de – Fon: +49 (0)6027/4067-0
25.11.2011
Folie 55